安全是有分量的

海外高防_防御ddos攻击方法_快速接入

2022-06-21 09:30栏目:应用

海外高防_防御ddos攻击方法_快速接入

俄罗斯网络犯罪集团邪恶集团(Evil Corp)在其武库中添加了一款名为WastedLocker的新勒索软件。此勒索软件用于针对企业的目标攻击

邪恶集团帮派,也被CrowdStrike称为Indrik Spider,最初是宙斯僵尸网络的附属公司。随着时间的推移,他们组成了一个小组,专注于通过网络钓鱼电子邮件分发名为Dridex的银行特洛伊木马和下载程序。

随着攻击的发展,该组织创建了一个名为BitPaymer的勒索软件,该软件通过Dridex恶意软件交付,用于针对公司网络的有针对性的攻击。

在NCC集团的Fox IT安全研究团队的一份新报告中,研究人员解释说,在邪恶集团成员Igor Olegovich Turashev和Maksim Viktorovich Yakubets被起诉后,黑客集团开始调整策略。

作为此次重组的一部分,邪恶公司已开始分发一种新的勒索软件变体,名为WastedLocker,用于针对企业的定向攻击。

"邪恶公司在部署勒索软件时,在目标基础设施方面是有选择性的。通常,防御局域网ddos攻击,他们会攻击文件服务器、数据库服务、虚拟机和云环境。当然,这些选择也会受到我们所称的"商业模式"的严重影响,这也意味着他们应该能够消除破坏或中断备份应用程序和相关基础架构,福克斯IT研究员斯特凡诺·安特努奇(@Antelox)在报告中解释。

为了交付勒索软件,邪恶公司(Evil Corp)正在入侵网站,插入恶意代码,显示来自Soggholish假冒更新框架的假冒软件更新警报。以下是在其他恶意软件活动中看到的假软件更新示例。

这些攻击中发送的有效载荷之一是Cobalt Strike渗透测试和攻击后工具包,邪恶公司使用该工具包访问受感染的设备。

然后,威胁参与者使用此访问进一步破坏网络,并部署WastedLocker勒索软件。

Fox IT指出,与DoppelPaymer攻击不同,宝塔怎么防御ddos,WastedLocker攻击在加密文件之前似乎不会窃取数据。DoppelPaymer攻击是一个勒索软件,由一个于2019年从邪恶公司分裂出来的组织创建"有趣的是,该组织似乎没有像DoppelPaymer和许多其他有针对性的勒索软件行动那样进行大规模的信息窃取或威胁发布有关受害者的信息。我们评估,不泄露受害者信息的可能原因是这会引起不必要的注意。"来自执法部门和公众,"Antenucci的理论是:

当启动时,WastedLocker勒索软件将在C:\Windows\System32下随机选取一个EXE或DLL文件,并使用该文件的名称在%AppData%文件夹下创建一个没有扩展名的新文件。

附加到该文件的是一个名为"bin"的替代数据流,然后将执行。

根据Fox IT的说法,高防cdn什么意思赵丽颖金婚,一次执行后,勒索软件将尝试加密计算机上的所有驱动器,跳过特定文件夹或包含特定扩展名的文件。

"WastedLocker不包括扩展目标列表,而是包括一个目录和扩展列表,以从加密过程中排除。大小小于10字节的文件也将被忽略,如果是大文件,勒索软件将以64MB的块对其进行加密。"

这些攻击是有针对性的,这意味着勒索软件是专门针对一家公司而制造的。

作为定制的一部分,勒索软件将结合"浪费"字符串和公司的首字母缩写,生成一个附加到受害者加密文件的扩展名。

例如,如下图所示,扩展名为。eswasted,其中"es"是受害者的首字母缩写。如果Acme公司是受害者,广东高防cdn,那可能是。A.

对于每个加密的文件,WastedLocker还将创建一个附带的以_info结尾的赎金便笺。

例如,如果Acme Corporation的文件已加密,安全狗防御ddos,则1。文档文件将被加密并重命名为1。博士。acwasted,将创建一个名为1的赎金便笺。jpg。ACU信息,如下所示。

这种策略很奇怪,因为没有一个程序可以自动打开它,而不是使用。txt扩展名

这张赎金单上有两张原件。com和tutanota。com电子邮件地址和指示,以便联系他们索取赎金金额。

Anteucci告诉BleepingComputer,这些赎金要求从50万美元到数百万美元不等。

WastedLocker此时看起来是安全的,这意味着无法免费解密文件。